A Radware által az internetre csalinak kitett honeypot szervereken akadt fel a BrickerBot nevű új fenyegetés. A DDoS-védelmet kínáló IT-biztonsági vállalat beszámolója szerint sebezhető IoT-eszközöket támad a digitális kártevő, de ahelyett, hogy túlterheléses támadással elérhetetlenné tenné őket, véglegesen tönkreteszi a sérülékeny készülékeket.

Permanent denial-of-service

A Radware PDoS-ként írja le a fenyegetés típusát, ami egy négy napos időszak alatt közel kétezer, a BrickerBothoz köthető támadási kísérletet regisztrált a világ számos különböző pontjában. A kártevő egyetlen célja az volt, hogy az online keresgélés során fellelt, sebezhető IoT-eszközök tárolóhelyét tönkretegye – figyelmeztetett a vállalat a történtek nyomán.
 

Közlésük szerint két, egymástól jól megkülönböztethető támadási hullámot érzékeltek, amelyek különböző botnetekből indultak ki. A másodikat egyértelműen Tor kilépési csomópontok mögé rejtették, hogy elfedhessék származási helyüket.

A Miraihoz hasonlóan ez a malware is Telnet brute force-szal igyekszik betörni az áldozat eszközökre. Mivel a BrickerBot nem próbál meg bináris file-t letölteni, a Radware nem rendelkezik a teljes felhasználónév/jelszó listával, amit a digitális kártevő végigpróbálgat a bejutás érdekében. Az azonban kiderült, hogy az első kísérletet mindig a root/vizxv párossal kezdi.

Üdvözlöm, mennyi idő feltörni a kávéfőzőjüket?

Mindenképpen fel kell rá hívni a figyelmet, hogy a gyártók jellemzően nem fordítanak kellő figyelmet az IoT termékek szoftveres biztonságára és általában a termékek megfelelő biztonsági szempontok szerint történő felépítésére. Eközben például az olyan botnetek, mint a Mirai malware-re épülő hálózatok, képesek lehetnek akár az internet gerince elleni sikeres támadásokra is.

Eredményeket csak akkor várhatunk ettől az egésztől, ha sikerül nagyon egyértelmű feltételrendszert kell felállítani a termékek értékelésében és a fogyasztói várakozások korlátaiban.

Linuxra utazik

Jó néhány olyan IoT-eszköz akad, amelybe előre beírva, utólag nem változtathatóan rögzítették a hozzáféréshez szükséges azonosítókódokat. Ezek a BrickerBotnak könnyű prédát jelentenek, és miután sikeresen bejutott rájuk, használhatatlanná teszi őket. Lefuttat rajtuk pár sornyi linux parancsot, amivel végül eléri, hogy használhatatlanná váljanak az eszközök háttértárolói. Emellett lecsatlakoztatja őket az internetről, és letörli az összes állományt is róluk, hogy biztos ami biztos, helyreállíthatatlan károkat okozzon.

A kutatók feltételezése szerint a BrickerBot általuk elkapott változata kifejezetten a Linux/BusyBox IoT-eszközökre utazik, köztük is azokra, amelyeknek nyitva van a Telnet portja és nyilvánosan hozzáférhetők az interneten keresztül. Vagyis tulajdonképpen a Mirai célpontjait támadja ez a malware is.

Jelenleg nem tudni, hogy ki áll a digitális kártevő mögött. Bizonyos nézőpontból természetesen komoly károkat okoz, más tekintetben viszont pont, hogy megtisztítja az igazán veszélyes eszközöktől a dolgok internetét. Bármelyik nézőpontot is valljuk, az biztos, hogy a tönkretett készülékek helyébe érdemes jobban védett megoldásokat választani.